Vad är CER-direktivet, och hur är det kopplat till NIS2-direktivet?

6 oktober, 2023
Uppdaterad: 11 september, 2024
Uppskattad lästid: 6 min

Introduktion

En koppling till NIS och NIS2 direktivet

Det nya NIS2-direktivet ställer således högre krav på bolags skydd av nätverks- och informationssystem, särskilt för verksamheter som klassas som
samhällsviktiga inom EU.

Syftet är att medlemsländerna tillsammans ska bidra till att säkerställa en högre grad av säkerhet och motståndskraft mot cyberattacker och andra digitala hot.

Vad är CER-direktivet och vilka kopplingar har det till NIS2?

Som nämndes inledningsvis är det många som redan känner till NIS2-direktivet, men kort handlar det bland annat om att införa högre säkerhet för bolag som är verksamma inom antingen nätverks- och informationssystem eller tillhandahåller tjänster som går inom vad man brukar kalla för samhällsviktig verksamhet inom unionen. Detta för att tillsammans skapa en hög gemensam cybersäkerhetsnivå och samtidigt verka för att alla medlemsländer utgår från samma uppsatta krav.

I CER-direktivet ingår alltså inte risker kopplade till cybersäkerhet eller hot från cyberattacker utan detta hanteras i NIS2-direktivet.

CER-direktivet handlar om att säkerställa motståndskraften av samhällsviktig verksamhet. Att förebygga, motstå och hantera störningar eller avbrott i verksamheten inom unionen när det handlar om olyckor, naturkatastrofer, hot mot folkhälsan såsom pandemier och hybridhot. Men även andra hot där det finns en angripare, till exempel vid terroristbrott, brottslig infiltration eller sabotage. I CER-direktivet ingår alltså inte risker kopplade till cybersäkerhet eller hot från cyberattacker utan detta hanteras i NIS2-direktivet.

Såväl NIS2-direktivet som CER-direktivet är så kallade minimidirektiv. Det betyder att varje medlemsland själv bestämmer om de vill höja ribban och sätta högre krav än de som är presenterade i direktivet.

Likheter mellan de olika direktiven

Med det sagt finns det många likheter mellan de olika direktiven. Om man kollar på vilka områden (nämns som sektorer i direktiven) som omfattas i CER- respektive NIS2-direktivet är det samma områden utifrån perspektivet av CER-direktivet. I tabellen nedan ser man vilka områden som både finns med i CER- respektive NIS2-direktivet.

Område (sektor) CER-direktivet NIS2-direktivet
Energi x x
Transport x x
Bankverksamhet x x
Finansmarknadsinfrastruktur x x
Hälso- och sjukvård x x
Dricksvatten x x
Avloppsvatten x x
Digital infrastruktur x x
Offentlig förvaltning x x
Rymden x x
Produktion, bearbetning och distribution av livsmedel x x

Vidare finns det likheter kring de olika kraven som ställs av de olika direktiven för de samhällsviktiga verksamheterna (nämns som kritiska entiteter i direktiven), bland annat:

  • Incidentrapportering – Samhällsviktiga verksamheter måste rapportera till berörd myndighet vid en betydande störning av en samhällsviktig tjänst.
  • Riskbedömning – De samhällsviktiga verksamheterna genomföra en riskbedömning som omfattar relevanta risker som eventuellt kan leda till en incident.

Det finns även likheter i de olika direktiven kring vad varje medlemsland behöver sätta upp, de behöver bland annat:

  • Upprätta en strategi för att stärka entiteters (de samhällsviktiga verksamheternas) motståndskraft
  • Upprätta en förteckning på samhällsviktiga verksamheter samt bestämma hur den skall uppdateras
  • Utse behöriga tillsynsmyndigheter som exempelvis har rätt att utföra inspektioner på kritisk infrastruktur eller på riskhanteringsåtgärder samt utföra säkerhetsrevisioner
  • Utse en gemensam kontaktpunkt med de övriga medlemsländerna
  • Utföra en riskbedömning per sektor och undersektor

Det är viktigt att understryka att det ännu inte är fastställt hur Sverige som medlemsland och de samhällsviktiga verksamheterna som berörs av CER kommer att behöva agera utifrån ovan punkter. Detta är något som den pågående utredningen ska komma fram till och som sedan regeringen ska besluta. Troligen kommer utredarna undersöka hur vissa av punkterna ovan lösts i NIS-direktivet och använda det som en fingervisning för den pågående CER utredningen. I ett av skälen i Europaparlamentets och Rådets direktiv (EU) 2022/2557 nämner man också att med tanke på hur viktigt det är med cybersäkerheten för kritiska entiteters motståndskraft och för att skapa enhetlighet så bör man, när det är möjligt, säkerställa samstämmighet mellan dessa två direktiv.

Varför CER-direktivet?

I ett av skälen i CER-direktivet ansåg Europaparlamentet och Rådet att det var nödvändigt att få till ett nytt EU direktiv kring entiteters motståndskraft (CER-direktivet) eftersom verksamheter som använder kritisk infrastruktur arbetar mer gränsöverskridande och är mer sammanlänkade idag. Tidigare fanns det enbart två sektorspecifika unionsrätter, inom energi- och transportsektorn där man hanterade entiteters motståndskraft genom olika skyddsåtgärder för enskilda tillgångar inom dessa sektorer men det var inte tillräckligt för att förhindra att alla störningar äger rum. I och med detta behöver man öka samarbetet mellan kritiska entiteter inom medlemsländerna samt att alla medlemsländer får samma krav att följa och då var det nödvändigt att få till ett direktiv som hanterar ett mer heltäckande sätt att hantera motståndskraften för fler sektorer än de två som nämns ovan.

Vad händer nu?

I och med att både CER- och NIS2-direktivet antogs av Europaparlamentet och Rådet i slutet av 2022 har Sveriges regering tillsatt en särskild utredning för att föreslå anpassningar av svensk rätt som är nödvändiga för att båda dessa direktiv skall kunna genomföras.
Utredningen ska redovisas senast den 23 februari 2024 och därefter skall regeringen ta beslut kring den. I och med att CER-direktivet och NIS2-direktivet träder i kraft den 18 oktober 2024 kommer samhällsviktiga verksamheter i Sverige som omfattas av direktiven endast ha knappt 8 månader på sig att uppdatera rutiner och anpassa sin organisation för att uppfylla de nya direktiven. Detta kommer bli en väldigt tuff utmaning, speciellt om man aldrig gjort något liknande innan.

Vad kan man som verksamhet göra i dagsläget?

För att ha en rimlig möjlighet att kunna följa de två olika direktiven från och med den senare delen av 2024 behöver organisationer redan nu börja fundera på om man anser sig vara en samhällsviktig verksamhet men också fundera på vilken eller vilka som eventuellt skulle kunna vara en samhällsviktig verksamhet inom hela leveranskedjan. Det är viktigt att inte glömma bort att säkerställa säkerheten i hela leveranskedjan eftersom en störning av den skulle kunna få stora konsekvenser, inte bara för den egna verksamheten, utan även för andra områden och över gränserna. Är man det minsta osäker är det viktigt att man utreder detta.

En bra början är att öka förståelsen för båda direktiven. Det kan man få genom att läsa denna artikel men även gå igenom annan befintlig dokumentation, så som Europaparlamentets och Rådets direktiv (EU) 2022/2557 (CER-direktivet) samt Europaparlamentets och Rådets direktiv (EU) 2022/2555 (NIS2-direktivet).

Eftersom både incidenthantering och riskbedömning är centrala krav i de både direktiven som de samhällsviktiga verksamheterna behöver uppfylla är detta något som organisationen kan börja med.

Vidare kan det även vara bra att läsa igenom regeringens kommittédirektiv gällande CER- och NIS2-direktivet samt följa vilket beslut som regeringen kommer ta, utifrån resultatet av den pågående utredningen, gällande CER- och NIS2-direktivet.

Eftersom både incidenthantering och riskbedömning är centrala krav i de både direktiven som de samhällsviktiga verksamheterna behöver uppfylla är detta något som organisationen kan börja med. Speciellt om man inte har en incidenthanteringsprocess eller rutin på plats eller om man inte utfört någon riskanalys tidigare.

Det kan även vara bra för organisationer att förstå vad som klassas som en samhällsviktig verksamhet enligt CER-direktivet. Nedan ser ni vilka kriterier som behöver uppfyllas:

  1. Entiteten tillhandahåller en eller flera samhällsviktiga tjänster
  2. Entiteten bedriver verksamhet, och dess kritiska infrastruktur är belägen, på denna medlemslands territorium.
  3. En incident skulle få betydande störande effekter för entitetens tillhandahållande av en eller flera samhällsviktiga tjänster

Undantag

Det finns vissa undantag då samhällsviktig verksamhet inte behöver följa CER- eller NIS2-direktivet, till exempel vid vissa fall där verksamheten är kopplad till nationell säkerhet, men detta är inget som vi kommer gå in på i denna artikel. För mer information kan man gå till Europaparlamentets och Rådets direktiv (EU) 2022/2557 och fördjupa sig mer kring vilka undantag som finns.